新しい機能および拡張機能

このトピックでは、
Layer7 API Gateway
の現在のリリースの新機能と拡張機能の概要について説明します。 これらの項目の一部を詳しく説明する付属セクションも含まれています。
CGW10-0
2

Gateway バージョン 10.0 CR3 の新機能

説明
注意事項
TLS v1.3 のサポート
セキュリティ強化のために、HTTP、HTTP2、および WebSocket 接続で TLS 1.3 がサポートされるようになりました。 新しいリスン ポート、WebSocket 接続、または HTTP ルーティング アサーションは、作成時にデフォルトで TLS 1.2 および TLS 1.3 に設定されます。 既存の API では、TLS 1.3 オプションはデフォルトでは選択されません。
注:
TLS 1.3 は AdoptOpenJDK 8u272 以降で利用可能です。
暗号スイートの変更
Gateway でデフォルトで推奨される暗号スイート リストが変更されました。 リストが並べ替えられ、脆弱なアルゴリズムの一部がデフォルトで無効になります。 レガシー クライアントまたはバックエンドをサポートするには、弱い暗号を明示的に有効にする必要があります。
削除された SSL プロトコル
以前に廃止された次の SSL プロトコルが Gateway から削除されました: SSLv2、SSLv3、および SSLv2 Compatible Client Hello。 代わりに TLS 1.2 以上を使用することをお勧めします。
以前の CRS またはリリースの新機能および拡張機能(すべてのフォーム ファクタ)については、こちらで元の「Layer7 API Gateway ドキュメント」を参照してください。

Gateway バージョン 10.0 CR2 の新機能

説明
注意事項
Helm チャートが Kubernetes へのコンテナ Gateway 展開でサポートされました
ベータ フェーズを経て、Kubernetes のクラウドベースのコンテナ Gateway の参照実装の一環として、Layer7 に Gateway Helm チャートが追加されました。 この変更の詳細については、以下のトピックを参照してください。
serviceUsage.updateInterval
クラスタ プロパティの拡張機能
serviceUsage.updateInterval
は CR1 で初めて導入され、ユーザは Gateway がサービス メトリック データを収集し、MySQL の内部データベースに書き込む機能を無効化/有効化することができ、企業はソリューション アーキテクチャの柔軟性を向上できます。 CR2 では、このプロパティがさらに拡張され、ユーザは時間単位でサービス メトリックの頻度を調整することができるようになりました。 詳細については、「サービスのクラスタ プロパティ」を参照してください。
テレメトリ データが Broadcom に送信されるようになりました
PLA のお客様は、Gateway からのテレメトリ データをセグメントではなく、
https://telemetry.broadcom.com
で Broadcom に直接送信するようになります。 Broadcom PLA 契約の一部としてテレメトリ要件をアクティブ化する方法とその詳細については、「製品ライセンスとテレメトリ」を参照してください。
データ収集ツール(DCT)がコンテナ フォーム ファクタで利用可能
データ収集ツールは、以前は Gateway のアプライアンス フォーム ファクタでのみ使用可能でしたが、コンテナ フォーム ファクタで使用可能になり、GC ログ、ネットワーク アクティビティ、スレッド ダンプ、Java セキュリティなどのトラブルシューティング情報をシステムから抽出することができるようになりました。 詳細については、「データ収集ツール」を参照してください。
AdoptOpenJDK のサポート
バージョン 10.0 CR2 では、API Gateway は AdoptOpenJDK 8u265+ をサポートします。
Oracle X8-2 アプライアンスのサポート
CA API Gateway v10.0 CR2 は、Oracle X8-2 ハードウェア アプライアンスをサポートするようになりました。
Luna SA HSM v7.2 ユーザの Luna パーティション ポリシーの変更
「秘密鍵のラッピング解除の有効化」Luna パーティション ポリシー(Policy ID #2 とも呼ばれる)の工場出荷時のデフォルトは「オン」になります。 企業がこのポリシーをオフにして、Luna HSM 内で公開鍵と秘密鍵のペアを作成して保存する必要がある場合は、Gateway の一般的な操作に影響を与えることなく行うことができます。 Luna SA HSM を FIPS モードで実行する場合は、こちらで説明するように、追加の設定変更を行う必要があります。
これは、Gateway を選択した数の Luna パーティション ポリシーの変更に対応させるという Layer7 の目標の第 1 段階です。
以前の CRS またはリリースの新機能および拡張機能(すべてのフォーム ファクタ)については、こちらで元の「Layer7 API Gateway ドキュメント」を参照してください。

Gateway バージョン 10.0 CR1 の新機能

説明
注意事項
AdoptOpenJDK のサポート
バージョン 10 CR1 では、API Gateway は AdoptOpenJDK 8u252+ をサポートします。
ソフトウェア Gateway の nShield ハードウェア セキュリティ モジュールのサポート
以前は、API Gateway のアプライアンス フォーム ファクタでのみ nShield Connect XC HSM との統合がサポートされていました。 バージョン 10 CR1 のリリースにより、このデバイスの Gateway サポートはソフトウェア フォーム ファクタに拡張されました。 インストールおよび設定の情報については、こちらを参照してください。
ソフトウェア Gateway で nShield HSM の設定に必要なスクリプトおよびファイルは、「10-CR01.zip」ファイル内の「ssg-nshield-10.0.00.10675-CR01.tar.gz」tarball ファイルにパッケージ化されています。 その内容と追加の設定手順については、こちらを参照してください。
Gateway ソリューション開発キットのヘッドレス管理用の「名前によるソリューション キットの選択」の拡張機能
API Gateway では、Gateway 移行ユーティリティ(GMU)または RESTMAN ツールを使用して、ヘッドレスでソリューションキットをインストール、アップグレード、またはアンインストールするときに、テキストベースの名前でソリューションキットを簡単に選択できるようになりました。 以前は、Gateway から OTK などのソリューション キットをインストール、アップグレード、またはアンインストールするときに、ユーザは、グローバル一意識別子によってソリューション キットを選択するよう制限されており、ソリューション キットの識別がユーザにわかりにくくなっていました。
GMU ツールの新しい
solutionKitSelectByName
プロパティの詳細については、「manageSolutionKits コマンド'」ページを参照してください。 RESTMAN API については、「RESTMAN のドキュメント」を参照してください。
新しい
serviceUsage.updateInterval
クラスタ プロパティ
新しいクラスタ全体のプロパティ、
service.Usage.updateInterval
は、サービス使用状況統計のデータ収集をオプトアウトして、この統計データが書き込まれる Gateway データベースのシステム リソースを解放できます。 このプロパティの詳細については、「サービスのクラスタ プロパティ」ページを参照してください。
service.Usage.updateInterval
プロパティは、Gateway バージョン 10 CR1 で説明されているように、そのロールアウトの第 1 段階を反映しています。 第 2 段階(公式リリース発表予定)では、このプロパティを使用して、サービス使用状況データ収集の頻度または間隔(時間単位)を調整できます。
新しい WebSocket アサーション
アウトバウンド WebSocket への接続アサーションを使用すると、ポリシー コンテキストから暗黙的に選択された指定の WebSocket 接続エンティティを使用して、アウトバウンド WebSocket 接続を確立できます。
CA SSO SDK のアップグレード
CA Single Sign-On SDK がバージョン
12.8.03
にアップグレードされました。 詳細については、「更新ファイルのリスト」、「要件と互換性」および「ソフトウェア Gateway の CA Single Sign-On SDK のインストール」を参照してください。
新しい
maxEventsPerSecond
拡張リスン ポート プロパティ
デフォルトでは、HTTP/2 のリスン ポートによって、各ホストが 1 秒あたり 20 イベントを送信できます。 高度なプロパティ maxEventsPerSecond=<value> を設定することで、1 秒あたりにより多くのイベントを許可できるようになりました。 このプロパティによって、クラスタ プロパティ値 http2.transport.maxEventsPerSecondDefault がオーバーライドされます。
SSL/TLS 設定(Policy Manager)の新しい「この順序を使用」オプション
[Policy Manager] > [リスン ポートの管理] > [リスン ポートのプロパティ] > [SSL/TLS 設定]タブで新しい「この順序を使用」オプションが実装され、安全な接続ハンドシェイクでクライアント側の暗号スイートを使用したいというクライアントの好みの問題を回避するために、Gateway がサーバ側の暗号スイートの使用を強制するようになりました。
Gateway バージョン 10 CR1 にアップグレードすると、この新しいオプションが自動的に選択されますか?
このオプションは、以下を実行する場合にデフォルトで選択されます。
  • Gateway バージョン 10 CR1 の新規インストールまたは最初からインストールする場合
  • バージョン 10 (ベース)またはバージョン 9.4 (任意の CR)を実行している既存の Gateway を使用したバンドルを介して、Gateway をバージョン 10 CR1 に移行する場合。
バージョン 10 (ベース)またはバージョン 9.4 (任意の CR)を実行している Gateway から標準アップグレードを実行している場合、このオプションはデフォルトではオンになりません。

Gateway バージョン 10.0 の新機能

説明
注意事項
CentOS 7 サポート
General Availability では、ソフトウェア Gateway を除くすべての Gateway 10 OVA イメージが CentOS 7.7.1908 に付属しています。
さまざまな Gateway フォーム ファクタにわたる CentOS 7 の適用の詳細については、このページの付録の「CentOS 7 の新機能」を参照してください。
アプライアンスの急速アップグレード
現在、Gateway バージョン 10.0 はインプレース アップグレードとして提供されていません。 Gateway の以前の 9.x バージョンからアップグレードする場合は、「アプライアンスの手動急速アップグレード」プロセスを使用して、すべてのポリシーおよびポリシー アーティファクトをバックアップして Gateway 10.0 に移行します。
Gateway 9.4 から Gateway 10.0 に複数のアプライアンス Gateway を移行する場合は、「自動急速アップグレード」手順を使用することも検討してください。
ソフトウェア Gateway のお客様は、標準のパッチ プロセスを使用してバージョン 10.0 にアップグレードすることもできます。
MySQL 8 サポート
MySQL 5.7 のサービス終了タイムラインを準備できるように、Gateway バージョン 10.0 は Gateway の設定、メトリック、およびログのプライマリ ストアとして MySQL 8.0 に付属します。
Gateway バージョン 10.0 アップグレードの一環として MySQL アップグレードを実行する場合は、現在の実稼働環境の Gateway および MySQL サーバのバージョンによって状況が異なることがあります。 既知の制限などアップグレード パスの概要については、「Gateway 10 での MySQL 8.0 の使用」を参照してください。
HTTP(S) リスン ポート サーバ エンジンのアップグレード
API Gateway は、HTTP(S) リクエストを処理できるようにリスン ポート サーバ エンジンをアップグレードしました。 このアップグレードを受けて Gateway バージョン 10.0+ 用に特定の入力/出力クラスタ全体のプロパティを最適に設定する方法については、このページの付録の「HTTP(S) リスン ポート サーバ エンジンのパフォーマンス調整」を参照してください。
SafeNet Luna SA HSM クライアント v7.2 のサポート
Layer7 API Gateway は、Luna SA Network HSM v7.2 クライアントをサポートするようになりました。 クライアントのクリーン インストールを実行する方法については、「SafeNet Luna SA HSM v7.2 の設定」を参照してください。 クライアントの v5.4.1 からのアップグレードを検討している場合は、「SafeNet Luna SA HSM クライアントのアップグレード」を参照してください。
: Gemalto は 2020 年早期に v5.4.1 の販売を終了することを発表しましたが、CA-Broadcom はクライアントの v5.4.1 を引き続き使用するお客様に対して今後も最高レベルのサポートを提供します。 ただし、それと同時に、Luna のお客様は v7.2 が今後 Luna HSM の標準バージョンになるための準備をする必要があります。
syslog 統合の改善
Syslog プロパティを設定して、Syslog サーバ実装のメッセージ キューと接続の管理を改善できるようになりました。
Syslog プロパティを設定する方法
syslog システムのデフォルト設定と新しい設定可能なデフォルト設定とをすばやく比較するには、このページの付録の「Syslog」を参照してください。
HTTP/2 プロトコルのサポート
Layer7 API Gateway は、受信および送信データ転送用に HTTP/2 プロトコルをサポートするようになりました。 新しい Route via HTTP/2 アサーションは、HTTP 2.0 標準をサポートしています。
OpenAPI 3.0 仕様のサポート
新しい Validate Against OpenAPI Document アサーションは、OpenAPI ドキュメントから API に対するリクエストを検証します。 新しい OpenAPI サービスの公開ウィザードを使用して、OpenAPI ドキュメントに基づいてサービスを公開できます。
Kafka サポート
Layer7 API Gateway は、kafka クラスタにレコードを公開する Kafka クライアント(プロデューサー)として機能します。 新しい Route via Kafka アサーションを使用すると、ポリシーがゲートウェイ メッセージを既知の Kafka クラスタ トピックにルーティングできます。
DFDL サポート
Layer7 API Gateway は、DFDL (データ形式記述言語)をサポートし、Apply DFDL Transformation アサーションを使用して、プリコンパイルされた DFDL プロセッサを管理し、データ変換を駆動できるようになりました。
ICAP の拡張
Scan Using ICAP-Enabled Antivirus アサーションは、REQMOD (リクエスト変更モード)もサポートするようになりました。 Gateway は、ICAP サーバに送信するプレビュー データを ICAP リクエストに含めることもできるようになりました。
SSH2 の拡張
フィンガープリントのリストを追加し、Route via SSH2 アサーション内の複数のフィンガープリントに照らしてサーバの SSH 公開鍵を検証できるようになりました。
クラスタ プロパティ ssh.routingEnabledKexAlgs が導入されました。ここには、SSH ルーティングで使用される有効なすべての KEX アルゴリズムの順序付き CSV リストを指定します。 Route via SSH2 アサーションで KEX アルゴリズムを選択し、順序付けることができます。
Oracle 19c サポート
Oracle 19c がサポートされています。
MS Active Directory 2016 認証
バージョン 10.0 のリリースでは、
Layer7 API Gateway
が MS Active Directory 2016 に対して認証されるようになりました。 今後 Active Directory 2008 を使用しないお客様(Microsoft は 2020 年に製品サポートを終了する予定)が Gateway の LDAP アイデンティティ プロバイダとして最新の Active Directory 2016 を使用する場合には、Gateway のバージョン 10.0 にアップグレードする必要があります。
Extract Attributes from Certificate アサーションの拡張
Extract Attributes from Certificate アサーションが機能拡張され、アサーション プロパティで拡張オブジェクト識別子を指定することで、拡張値をコンテキスト変数形式で発行できるようになりました。

付録

CentOS7 の新機能
RHEL/CentOS 6.x は 2020 年末に販売終了になる予定で、これは Layer7 API Gateway のバージョン 10.0 で CentOS 7.x (Linux ベースの人気があるプラットフォームの後継製品)を導入する絶好の機会です。 バージョン 10.0 は、Gateway のアプライアンス(ハードウェアと仮想)、ソフトウェア、および AMI/Azure フォーム ファクタで使用できます。 以下に、CentOS 7 に導入された技術的変更の概要を示します。
CentOS 7 による systemd の導入
システムおよびサービス マネージャとしての sysvinit から systemd へのスイッチオーバー: これは、Gateway の特定の設定やインストール コマンドではコマンドラインで systemd コマンド規則を使用する必要があることを意味します。 たとえば、アプライアンスを再起動する systemctl コマンドは、以前の
reboot
コマンドではなく、
systemctl reboot
になりました。 このようなコマンドのほとんどは、バックグラウンド プロセスとして実行されます。Gateway 設定タスクの大半は、SSG 設定メニューや制限付きシェルで完了する必要があります。
CentOS 7 での永続的ネットワーク インターフェース命名規則の導入
ネットワーク インターフェースは、カーネルベースの「eth#」命名規則によって識別されなくなりました。 Gateway が新しい永続的ネットワーク インターフェース命名規則を処理する方法と、それが設定に与える影響については、「ネットワーク展開ガイド」を参照してください。
CentOS 7 による新しいサービスの導入
CentOS 7 では、新しいシステム サービスが導入されています。既存のシステム サービスは、システム デフォルトとして有効または無効になっています。 Gateway のバージョン 10.0 はすぐに入手でき、Gateway を最適かつ安全に実行できるようにサービスが有効または無効になっています。

syslog の改善点の概要

以下の表は、設定可能な syslog プロパティごとに、新旧のデフォルト値を比較したものです。 API Gateway の 10.0 以前のバージョンでは、syslog プロパティを設定できませんでした。
プロパティ
説明
古いデフォルト値
新しい設定可能なデフォルト値
Queue Size
syslog がビジー状態であるかアクセスできない場合に、キューに格納されるログ データ長のサイズ。
たとえば、10 に設定すると、Gateway はログ シンクごとにキューに 10 個のログ アイテムを格納します。
200
10000
Connection Timeout
Gateway が syslog サーバに接続しようとするたびの接続タイムアウト
30000 ms
500 ms
Max reconnect attempts
保留中のメッセージがあると、Gateway は再接続プロセスを開始します。 ターゲット syslog サーバに対して実行された再接続の試行回数。 設定されている syslog サーバが 1 つのみの場合、このプロパティは適用されません。Gateway は、その 1 つの syslog サーバに不特定回数の再接続を試行します。
6
1
Reconnect Interval
保留中のメッセージがあると、Gateway は再接続プロセスを開始します。 再接続の間隔とは、再接続の各試行間の一時停止のことです。
N/A
1000 ms
Drop Rate Percent
syslog メッセージ キューがいっぱいになると、Gateway は新しいメッセージ用の領域を確保するためにキュー サイズの割合に応じて古いログ メッセージのドロップを開始します。 最も古いメッセージの数は、(Drop Rate Percent) x (Queue Size)に等しくなります。
たとえば、Queue Size を 10,000、Drop Rate Percent を 1 に設定した場合、ドロップされるメッセージの数は 10,000 x 1 % = 100 となります。
20%
1%

HTTP(S) リスン ポート サーバ エンジンのパフォーマンス調整

ここでは、最新の HTTP(S) リスン ポート サーバ エンジンを実行している Gateway バージョン 10.0 の最適な入力/出力設定について説明します。 比較のために、デフォルト設定も示します。
さまざまな入力/出力クラスタ全体のプロパティの詳細については、こちらを参照してください。
プロパティ
説明
デフォルト設定
GW バージョン 10.0 推奨設定
Worker Thread Pool Core
io.httpCoreConcurrency
Gateway ノードあたりの同時にアクティブにできる HTTP 接続の数(プール サイズ)を設定します。
500
1800
Worker Thread Pool Maximum
io.httpMaxConcurrency
同時にアクティブにできる同時 HTTP/HTTPS 接続(Gateway ノードあたり)の最大数を設定します。
750
2000
Thread Count for Tomcat Acceptor (Gateway バージョン 10.0 で新規導入)
tomcat.acceptor.threadCount
接続を受け入れるために使用されるスレッドの数を設定します。
2
2
Maximum Connections to Tomcat Acceptor (Gateway バージョン 10.0 で新規導入)
tomcat.acceptor.maxConnections
任意の時点で Gateway が受け入れて処理する接続の最大数を設定します。 この最大数に達すると、Gateway はさらに 1 つの接続を受け入れますが、処理は行いません。 この追加で受け入れた接続は処理される接続の数が指定された値を下回るまでブロックされ、下回った時点で Gateway が新規接続の受け入れと処理を再開します。
この設定を行わないと、接続の最大数は
io.httpMaxConcurrency
の値の 6 倍になるように自動的に調整されます。 たとえば、
io.httpMaxConcurrency
の値が 1500 の場合、最大接続数は 9000 (6x1500)になります。
4500
12000